هشدار بسیار جدی دو باگ جدید فعال روز صفر در موزیلا فایرفاکس

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir 2 new mozilla firefox 0 day bugs under active attack 1
موزیلا بروزرسانی‌های نرم‌افزاری خارج از موعد را برای مرورگر وب فایرفاکس خود منتشر کرده است که دو آسیب‌پذیری امنیتی با تأثیر بالا را رفع نماید و به گفته فایرفاکس، هر دو به طور فعال در فضای سایبری مورد سواستفاده قرار می‌گیرند.

نقص‌های روز صفر (zero-day) که به‌عنوان CVE-۲۰۲۲-۲۶۴۸۵ و CVE-۲۰۲۲-۲۶۴۸۶ شناخته می‌شوند، به عنوان مشکلات استفاده پس از استفاده رایگان (use-after-free) توصیف شده‌اند که بر پردازش پارامتر تبدیل‌های زبان استایل‌شیت سبک یا Extensible Stylesheet Language Transformations (XSLT) و فریمورک ارتباطات بین فرآیندی WebGPU  (IPC) تأثیر می‌گذارند.

اساساً XSLT یک زبان مبتنی بر XML است که برای تبدیل داکیومنت های XML به صفحات وب یا داکیومنت های PDF استفاده می‌شود، در حالی که WebGPU یک استاندارد وب در حال ظهور است که به عنوان جانشین لایبرری گرافیکی جاوا اسکریپت فعلی WebGL معرفی شده است. شرح این دو نقص در زیر آمده است:

نقص CVE-۲۰۲۲-۲۶۴۸۵ – حذف یک پارامتر XSLT در طول پردازش می‌تواند منجر به استفاده use-after-free بهره‌برداری شود.

نقص CVE-۲۰۲۲-۲۶۴۸۶ – یک پیام غیرمنتظره در فریمورک WebGPU IPC که می‌تواند منجر به عبور از use-after-free و قابل بهره‌برداری از sandbox شود.

اشکالات use-after-free (که می‌توانند برای خراب کردن داده‌های معتبر و اجرای کد دلخواه در سیستم‌های در معرض خطر مورد سواستفاده قرار گیرند) عمدتاً از "گیج شدن در مورد اینکه کدام بخشی از برنامه مسئول آزاد کردن حافظه است" ناشی می‌شود.

موزیلا اذعان کرده است که «ما گزارش‌هایی از حملات در فضای سایبری داشته‌ایم» که این دو آسیب‌پذیری را بیشتر مورد توجه قرار می‌دهد، اما هیچ مشخصات فنی مرتبط با نفوذ‌ها یا هویت عاملان مخربی که از آن‌ها سواستفاده می‌کنند، به اشتراک گذاشته نشده است.

محققان امنیتی وانگ گانگ، لیو جیالی، دو سیهانگ، هوانگ‌یی و‌یانگ کانگ از Qihoo 360 ATA مسئول کشف و گزارش این نقایص هستند.

با توجه به بهره‌برداری فعال از نقص‌ها، به کاربران توصیه می‌شود در اسرع وقت دستگاه‌های خود را به فایرفاکس 97.0.2، فایرفاکس ESR 91.6.1، فایرفاکس برای اندروید 97.3.0، فوکوس 97.3.0 و تاندربرد 91.6.2 ارتقا دهند.

برچسب ها: تاندربرد, موزیلا, مرورگر وب, Web Browser, XSLT, Extensible Stylesheet Language Transformations, WebGPU IPC, use-after-free, WebGPU, فریم‌ورک‌, Framework, Sandbox, PDF, XML, IPC, Thunderbird, روز صفر, فایرفاکس, Mozilla, Firefox, آسیب‌پذیری, WebGL, Android , Cyber Security, فضای سایبری, اندروید, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ